Transport for London (TfL) sufrió en agosto de 2024 un devastador ciberataque que le supuso pérdidas cercanas a los 30 millones de libras y provocó la interrupción de sus servicios ferroviarios y de autobús. Dos jóvenes, inicialmente reportados como menores, Thalha Jubair y Owen Flowers, fueron detenidos y, el primer día de su juicio, decidieron declararse culpables de todos los cargos para evitar un largo proceso judicial que habría durado cinco semanas.
Este ataque afectó gravemente el funcionamiento interno de TfL. En un primer momento, la empresa señaló que no se había comprometido la información de los clientes y que el fallo se había producido únicamente en sus sistemas administrativos. Sin embargo, más tarde se informó de que aproximadamente 7,1 millones de personas habían sido notificadas sobre una posible pérdida de datos, si bien solo el 48% abrió el correo electrónico de advertencia. La investigación del caso, llevada a cabo por la National Crime Agency (NCA), reveló que el alcance real fue mucho mayor, calculando que cerca de 10 millones de clientes sufrieron alguna consecuencia, muy por encima de las cifras preliminares facilitadas por TfL.
Este ciberataque, ejecutado en agosto de 2024, paralizó los servicios de transporte, impidiendo que los usuarios pudiesen renovar sus tarjetas de viaje o hacer uso de servicios de concesión. Entre los más perjudicados estuvieron los viajeros con discapacidad, quienes fueron los primeros en sufrir las consecuencias del fallo informático. Por otro lado, los usuarios de la Oyster Card tuvieron dificultades para acceder a los fondos almacenados en sus tarjetas, y alrededor de 5.000 usuarios vieron comprometidos sus datos de pago personales. 
Una operación orquestada por el grupo Scattered Spider, con reclutas adolescentes
En el momento del ataque, Jubair y Flowers tenían oficialmente entre 15 y 16 años, pero las autoridades aclararon durante el juicio que sus edades reales son 18 y 20 años, respectivamente. Esto llevó a que el tribunal levantase las restricciones de publicación sobre sus identidades. Ambos individuos afirmaron estar vinculados al grupo de hackers conocido como Scattered Spider, cuya característica distintiva es el reclutamiento de jóvenes adolescentes para ejecutar sus operaciones.
Desde 2023, al menos ocho miembros de Scattered Spider han sido arrestados, entre ellos Jubair, Flowers y el supuesto líder del grupo, Tyler Buchanan, único miembro confirmado mayor de 20 años. El grupo es famoso por su sofisticada ingeniería social, enfocándose en equipos de soporte técnico y centros de llamadas para lograr que restablezcan contraseñas y eludan sistemas de autenticación multifactor. Con estos accesos, despliegan herramientas que les permiten moverse lateralmente dentro de las redes comprometidas.
Se cree que Scattered Spider ha comprometido más de 130 organizaciones internacionales de alto perfil, como MGM Resorts, Caesars Entertainment, Marks & Spencer, Co-op Group y TfL. El Departamento de Justicia de Estados Unidos informó que el grupo extorsionó a 47 compañías estadounidenses, logrando pagos que sumaron unos 115 millones de dólares, parte de los cuales fue recuperado tras la incautación de carteras de bitcoin durante varias operaciones policiales.
Pruebas sólidas y trabajo conjunto entre agencias internacionales
La policía recuperó gran cantidad de dispositivos electrónicos en diferentes lugares durante las detenciones, incluyendo ordenadores, discos duros, memorias USB y portátiles. Los datos no cifrados almacenados en estos aparatos contenían capturas de pantalla y vídeos de las intrusiones, así como registros de cómo el grupo monitorizaba las redes corporativas a través de plataformas como Slack y Microsoft Teams para identificar y suplantar usuarios legítimos.
La información recabada se compartió con agencias internacionales como el FBI e Interpol. En particular, la computadora de Owen Flowers aportó datos cruciales que permitieron identificar otros ataques perpetrados en Estados Unidos, motivando una denuncia formal por parte del Departamento de Justicia estadounidense. Sin embargo, no está claro aún si estas investigaciones han conducido a la detención de otros miembros del grupo. Durante el proceso judicial, Jubair se negó a facilitar contraseñas y PIN, lo que también se tradujo en cargos adicionales en su contra.
Paul Foster, subdirector y responsable de la Unidad Nacional de Ciberdelincuencia del NCA, comentó sobre el caso: «Ha sido una investigación larga, altamente compleja y exhaustiva. La persistencia y el rigor de nuestros agentes, junto con la colaboración de otras organizaciones, hicieron que Jubair y Flowers no tuvieran más opción que admitir su culpa y asumir la responsabilidad de sus actos». Foster añadió que «aunque el crimen cibernético pueda parecer distante y sin rostro, la infiltración sufrida por TfL demuestra que tiene consecuencias reales y un enorme impacto para la ciudadanía. Este ataque generó pérdidas económicas millonarias en uno de los pilares de la infraestructura crítica del Reino Unido y representó una gran molestia para los usuarios». Asimismo, destacó la importancia de que organizaciones afectadas contacten con las fuerzas del orden lo antes posible para facilitar la resolución de estos casos.
Implicaciones y próximos pasos
La admisión de culpabilidad de ambos acusados probablemente les permita obtener una reducción en su condena, tal como indican las directrices judiciales del Reino Unido. No obstante, para los fiscales y expertos del sector es una decepción, ya que se esperaba que el juicio ofreciera más detalles sobre las operaciones y alcance del grupo Scattered Spider.
Aún se desconoce bajo qué condiciones se realizó la declaración de culpabilidad ni cuál será la pena recomendada. Aunque se han recuperado numerosos datos de sus dispositivos, los investigadores confían en que los interrogatorios puedan revelar información valiosa sobre otros ataques. Actualmente, ambos permanecen detenidos y la audiencia para determinar su sentencia está fijada para el 15 de julio.
La NCA destaca el programa gubernamental Cyber Choices como una posible vía para prevenir futuras incorporaciones a grupos criminales cibernéticos entre jóvenes. No obstante, la principal incógnita permanece en si las organizaciones invertirán más en formación y concienciación en sus servicios de atención y soporte para evitar que otros adolescentes se unan a este tipo de bandas criminales.
